Divulgation responsable

Responsable Divulgation fait référence à la meilleure pratique suivie par la plupart des chercheurs en sécurité consistant à ne pas divulguer une information critique vulnérabilité dans un logiciel jusqu'à ce qu'un correctif ou une correction du fournisseur soit disponible. Ce problème se pose souvent lorsque des équipes comme Le projet zéro de Google, une équipe créée pour détecter et corriger les failles de sécurité, identifier les vulnérabilités et ne pas divulguer les informations au public. La raison pour laquelle les analystes et chercheurs en sécurité ne peuvent pas partager ces informations publiquement est que les pirates surélevées que pour les cyber-criminels Les entreprises attaquent et exploitent souvent la vulnérabilité annoncée bien plus rapidement que les fournisseurs ne peuvent produire un correctif. Les clients peuvent alors déployer ce correctif pour se protéger, ainsi que leurs réseaux, données et systèmes. C'est pourquoi on parle de divulgation responsable, considérée comme une bonne pratique, bien qu'aucune loi n'oblige les chercheurs en sécurité à la suivre. 

Termes connexes: Programmes de primes de bogues,Vulnérabilité, Vulnérabilité Zero Day

Lecture connexe: Les défis de la recherche en cybersécurité et de la divulgation des vulnérabilités des appareils de santé connectés

Source: OSC en ligne

Les PME devraient-elles se familiariser avec la divulgation responsable ?

Oui. De nombreuses PME développent des logiciels destinés à la distribution et à l'utilisation en ligne. En tant que dirigeant d'une PME, vous devriez envisager de promouvoir un produit. Programme Bug Bounty pour votre produit qui encourage «divulgation responsable » par des chercheurs en sécurité. Il s'agit d'une petite incitation financière pour ceux qui découvrent une faille critique dans votre logiciel, afin de vous la proposer au lieu de la vendre sur le Dark Web ou le Deep Web.

Deuxièmement, les PME doivent disposer d'un processus de gestion des alertes de vulnérabilité (VAMP) définissant les délais de correction des vulnérabilités critiques des logiciels et du matériel utilisés pour gérer leur activité. Pour les bugs de gravité 1 susceptibles de compromettre à distance votre réseau, vos données ou vos systèmes, vous devez appliquer les correctifs au plus vite.

CyberHoot dispose d'un processus VAMP pour aider les PME à développer leurs propres meilleures pratiques en matière de vulnérabilités Zero-Day, de correctifs et de divulgation responsable.

Pour plus d'informations sur la divulgation responsable des vulnérabilités aux fournisseurs de matériel et de logiciels, veuillez regarder cette vidéo :

https://youtube.com/watch?v=t5UKO4jjevw

Faites-vous suffisamment pour protéger votre entreprise ?

Inscrivez-vous dès aujourd'hui sur CyberHoot et dormez mieux en sachant que votre

les employés sont formés à la cybersécurité et sur leurs gardes !

Inscrivez-vous dès aujourd'hui !